我正在寻找具有对象粒度的 Java Web 应用程序的安全框架。
这意味着我不只是想通过 url 或角色进行过滤,而是通过系统内域对象的特定用户所有权进行过滤。
例如,如果有一个Message
对象有一个Sender
用户和一个Receiver
用户,我希望能够对其进行配置,以便每个消息都可以被它的发送者 RW 和它的接收者 RO。
或者,例如,所有用户都可以查看所有用户配置文件,但只能由所有者编辑。
当然,这些规则我想用元数据(注释、xml 文件等)来定义它们,而不是嵌入到我的业务逻辑中。
外面有这样的野兽吗?最好是开源的。